Назад | Перейти на главную страницу

Получите брандмауэр Windows, чтобы разрешить подключение от пользователя, входящего через VPN (маршрутизация и удаленный доступ)

Один сетевой адаптер Windows Server имеет несколько служб, например FTP.

На этом же компьютере также выполняется маршрутизация и удаленный доступ для предоставления удаленным пользователям услуг VPN / NAT. Это означает, что пользователи, которые подключаются, которые затем просматривают Интернет, видят IP-адрес сервера.

Я хочу скрыть свою службу FTP, чтобы порт (например, порт 123) был доступен только пользователям, подключенным через VPN или находящимся на самой машине. Я хочу, чтобы порт 123 был скрыт от Интернета.

Хотя в Интернете полно информации о том, как открыть порты VPN на брандмауэре, я не могу найти ничего о том, как ограничить порт только для пользователей VPN с помощью брандмауэра Windows.

Поскольку маршрутизация и удаленный доступ выдает IP-адреса клиентов из определенного пула IPv4. Сначала я попытался добавить этот диапазон к удаленным IP-адресам в правиле ALLOW. Я также пробовал публичные IP серверов. Однако все это просто мешает подключению. Доступ к порту возможен только в том случае, если для правила установлено значение «Любой IP-адрес».

Как открыть порт в брандмауэре Windows только для пользователей VPN?

Поскольку вы знаете пулы IP-адресов VPN DHCP, потому что вы их назначили, вы знаете допустимый диапазон IP-адресов для пользователей VPN. Просто ограничьте брандмауэр, чтобы разрешить только пул IP для FTP.

Вы можете использовать команду powershell, чтобы получить пул IP-адресов

Get-RemoteAccessRoutingDomain -Name <name>

Не удалось прокомментировать из-за низкой репутации.

Что это за FTP-сервер? Поскольку я обычно использую FTP-серверы Linux, я бы поместил FTP-сервер во vLAN (в другой подсети). Вы можете настроить VPN-машины для подключения к этой подсети вместо основной подсети для остальной сети, сделав VPN-сервер членом сети vLAN (с виртуальным адаптером). Это будет хорошо работать, особенно если VPN-машины подключаются к Интернету через свои локальные сети, а не через VPN-туннель (принудительное отключение туннеля). Однако это действительно зависит от вашей конфигурации. Мое предложение было бы особенно легко реализовать, если FTP-сервер работает как виртуальная машина (тогда вы просто делаете его внутренним адаптером, и VPN будут подключаться через мост на VPN-сервере). Просто идеи. Какую точную настройку вы используете для своих серверов FTP и VPN? Вы сказали, что используете FTP в качестве роли сервера, поэтому, может быть, вы могли бы подумать о настройке его в качестве клиента Hyper-V? Я не специалист по сетям, но более знаком с настройками виртуальных машин, где компоненты сервера отделены друг от друга (упрощает управление, ИМХО).